auditd est le composant d'espace utilisateur du système d'audit Linux. Il est responsable de l'écriture des enregistrements d'audit sur le disque. La visualisation des logs se fait avec les utilitaires ausearch ou aureport. La configuration des règles d'audit s'effectue avec l'utilitaire auditctl. Au démarrage, les règles dans /etc/audit/rules.d/audit.rules (pour CentOS/RHEL 7) sont lues par auditctl. Le démon d'audit lui-même dispose de certaines options de configuration que l'administrateur peut souhaiter personnaliser. Ils se trouvent dans le fichier auditd.conf.
Le message fournit un exemple de règle d'audit pour capturer les informations d'identification de l'utilisateur et la commande utilisée pour redémarrer/arrêter les serveurs Linux et cette règle peut être modifiée selon les besoins.
Le fichier de configuration principal pour ajouter la règle d'audit est "/etc/audit/audit.rules" et le même doit être mis à jour avec les règles requises.
Remarque :Sur CentOS/RHEL 7, le fichier de configuration est /etc/audit/rules.d/audit.rules au lieu de /etc/audit/audit.rules.
Configuration de l'audit
Vous trouverez ci-dessous un exemple basé sur CentOS/RHEL 6, mais les étapes restent les mêmes pour CentOS/RHEL 7 également.
1. Effectuez la sauvegarde de la configuration existante.
# cp /etc/audit/audit.rules /etc/audit/audit.rules.bkp
2. Modifiez le fichier /etc/audit/audit.rules et ajoutez les règles suivantes pour le rendre persistant.
# vi /etc/audit/audit.rules -a exit,always -F arch=b64 -S execve -F path=/sbin/reboot -k reboot [ -k Filter key ] -a exit,always -F arch=b64 -S execve -F path=/sbin/init -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/poweroff -k reboot -a exit,always -F arch=b64 -S execve -F path=/sbin/shutdow -k reboot
3. Redémarrez le service auditd pour appliquer les modifications.
# service auditd restart
4. Lister les règles ajoutées,
# auditctl -l LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/reboot key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/init key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/poweroff key=reboot syscall=execve LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/sbin/shutdow key=reboot syscall=execve
Vérifier
Pour filtrer les événements de redémarrage du journal d'audit, la clé de filtre doit être spécifiée.
# ausearch -k reboot time->Mon Jan 4 11:48:20 2016 type=PATH msg=audit(1451926100.004:17): item=1 name=(null) inode=1368522 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=PATH msg=audit(1451926100.004:17): item=0 name="/sbin/init" inode=1792404 dev=fc:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 type=CWD msg=audit(1451926100.004:17): cwd="/root" type=EXECVE msg=audit(1451926100.004:17): argc=2 a0="init" a1="6" type=SYSCALL msg=audit(1451926100.004:17): arch=c000003e syscall=59 success=yes exit=0 a0=12706f0 a1=1271190 a2=1268ec0 a3=8 items=2 ppid=2830 pid=2879 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=1 comm="init" exe="/sbin/init" key="reboot
Ici,
uid – Représente l'identifiant de l'utilisateur.
gid – Représente l'identifiant du groupe
exe="/sbin/init" – commande exécutée